Linux Foundation o založení konzorcia , zameraný na vývoj otvorených technológií a štandardov týkajúcich sa bezpečného spracovania v pamäti a dôverných výpočtov. K spoločnému projektu sa už pripojili spoločnosti ako Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent a Microsoft, ktoré majú v úmysle spolupracovať na neutrálnej platforme na vývoji technológií na izoláciu dát v pamäti počas výpočtového procesu.
Konečným cieľom je poskytnúť prostriedky na podporu celého cyklu spracovania údajov v zašifrovanej forme bez toho, aby sa v jednotlivých fázach nachádzali informácie v otvorenej forme. Oblasť záujmu konzorcia zahŕňa predovšetkým technológie súvisiace s používaním šifrovaných údajov vo výpočtovom procese, konkrétne používanie izolovaných enkláv, protokolov pre , manipuláciu so zašifrovanými údajmi v pamäti a úplnú izoláciu údajov v pamäti (napríklad zabrániť správcovi hostiteľského systému v prístupe k údajom v pamäti hosťujúcich systémov).
Nasledujúce projekty boli prevedené na nezávislý vývoj v rámci Confidential Computing Consortium:
- Spoločnosť Intel odovzdala na ďalší spoločný vývoj
komponenty na použitie technológie (Software Guard Extensions) v systéme Linux vrátane súpravy SDK so sadou nástrojov a knižníc. SGX navrhuje použiť sadu špeciálnych inštrukcií procesora na pridelenie súkromných pamäťových oblastí aplikáciám na užívateľskej úrovni, ktorých obsah je šifrovaný a nemôže byť čítaný ani upravovaný ani jadrom a kódom spusteným v režimoch ring0, SMM a VMM; - Microsoft odovzdal rámec , ktorá vám umožňuje vytvárať aplikácie pre rôzne architektúry TEE (Trusted Execution Environment) pomocou jediného API a abstraktnej reprezentácie enklávy. Aplikácia pripravená pomocou Open Enclav môže bežať na systémoch s rôznymi implementáciami enkláv. Z TEE je v súčasnosti podporovaný iba Intel SGX. Kód na podporu ARM TrustZone je vo vývoji. O podpore , AMD PSP (Platform Security Processor) a AMD SEV (Secure Encryption Virtualization) nie sú hlásené.
- Red Hat odovzdal projekt , ktorá poskytuje abstraktnú vrstvu na vytváranie univerzálnych aplikácií na spustenie v enklávach, ktoré podporujú rôzne prostredia TEE, nezávislé od hardvérových architektúr a umožňujúce použitie rôznych programovacích jazykov (používa sa runtime založené na WebAssembly). Projekt v súčasnosti podporuje technológie AMD SEV a Intel SGX.
Medzi podobnými projektmi, ktoré boli prehliadané, môžeme zaznamenať rámec , ktorý je vyvíjaný hlavne inžiniermi Google, ale oficiálne podporovaný produkt Google. Rámec vám umožňuje jednoducho prispôsobiť aplikácie tak, aby sa niektoré funkcie, ktoré si vyžadujú zvýšenú ochranu, presunuli na stranu chránenej enklávy. Z mechanizmov na izoláciu hardvéru v Asylo je podporovaný iba Intel SGX, no dostupný je aj softvérový mechanizmus na vytváranie enkláv založený na využití virtualizácie.
Pripomeňme, že enkláva (, Trusted Execution Environment) zahŕňa poskytnutie špeciálnej izolovanej oblasti procesorom, ktorá umožňuje presunúť časť funkcionality aplikácií a operačného systému do samostatného prostredia, pričom obsah pamäte a spustiteľný kód sú nedostupné z hlavného bez ohľadu na úroveň dostupných privilégií. Na ich realizáciu je možné do enklávy presunúť implementácie rôznych šifrovacích algoritmov, funkcií na spracovanie súkromných kľúčov a hesiel, autentifikačných procedúr a kódu na prácu s dôvernými údajmi.
Ak dôjde k ohrozeniu hlavného systému, útočník nebude schopný určiť informácie uložené v enkláve a bude obmedzený len na externé softvérové rozhranie. Použitie hardvérových enkláv možno považovať za alternatívu k použitiu metód založených na šifrovanie resp , no na rozdiel od týchto technológií nemá enkláva prakticky žiadny vplyv na výkon výpočtov s dôvernými údajmi a výrazne zjednodušuje vývoj.
Zdroj: opennet.ru